Cybersäkerhet

Få syn på IT-miljön med cyberbrottslingens ögon

”Jag och mina kollegor i teamet angriper en kundmiljö likt en hotaktör, samma verktyg och tekniker. Det som skiljer oss är vårt tillvägagångsätt som är metodiskt och strukturerat med syfte att dokumentera de brister vi hittar och exploaterar. Enstaka sårbarheter kan utsätta en hel infrastruktur för risk, och det är så vi tar oss in. Genom att vara först hjälper vi kunden att stänga dörren för ett riktigt cyberhot, säger Christian Holmstedt som arbetar som specialist på cybersäkerhet och IT-säkerhet på Telia Cygate

Ett penetrationstest är en manuell simulering av ett dataintrång. Företag och organisationer anlitar ett team IT-säkerhetsspecialister, vanligast benämnt Pentest-team, med många års erfarenhet för att hacka deras system för att identifiera svagheter innan cyberbrottslingar nyttjar dem. Teamet får oftast två huvuduppdrag, att leta efter luckor i den externt exponerade attackytan och bedöma hur sårbar organisationen är på insidan. Beredskapen innanför den klassiska brandväggen är det som avgör hur stor skadan blir om man exempelvis får in skadlig kod via mejl. Resultatet från testet sammanfattas i en rapport till kunden där det framgår vilka brister som identifierades, hur allvarliga de är, och förslag på handlingsplan.

Alla lär sig mycket under ett penetrationstest. Man får svart på vitt vad som är bra idag och vilka områden som man behöver stärka upp. Min erfarenhet är att många väljer att göra återkommande tester, minst en gång om året, säger Christian Holmstedt.

Ytterligare en vanlig tillämpning av penetrationstester är att i realtid testa sin interna eller sina leverantörers motståndskraft. Under ett penetrationstest kan beredskapen och förmågorna hos organisationen testas hur de hanterar ett angrepp: Är de på tå, och har de koll på de senaste hoten och attackmetoderna?

Penetrationstest kan visa om relevant upptäckandemekanismer är på plats, hur snabbt intrånget upptäcks, om organisationen tar sig an upptäckten på ett kompetent sätt, och om de får full koll på vad som faktiskt har hänt. Det jag ser som absoluta värdet som våra kunder också bekräftar, det är det positiva lärandet som uppstår under dessa tester.


Så skapas sårbarheter

IT-system är stora och komplexa och drabbas över tid av något som kallas ”konfigurationsförfall”. Det innebär att konfigurationer som tidigare var säkra luckras upp över tid när man gör förändringar i miljön. Det kan räcka med en liten konfigurationsmiss för att dörren ska ställas på vid gavel. Och i värsta fall är håller cyberbrottslingarna koll och väntar på att det ska hända.

En annan vanlig källa till sårbarheter är att inloggningsuppgifter hanteras på ett slarvigt sätt. Användaruppgifter är nyckeln till ytterdörren och ger cyberbrottslingen en chans att scanna nätverket efter utdelade kataloger och filer.

En dator som är exponerad mot internet räcker för att hackare ska ta sig in och kryptera hela systemet. Stora attacker sker ofta som en konsekvens av banala misstag.

Brister i segmenteringen av nätverket är också ett vanligt säkerhetsproblem. I en korrekt uppsatt miljö kan inte vanliga användare nå servrar i nätverket, men denna begränsning är inte alltid på plats. Om det då dessutom finns system som har standardlösenord kan den som kommit över exempelvis receptionistens eller ekonomiassistentens användaruppgifter logga in med högsta behörighet i serverpanelen.

Under ett penetrationstest såg vi att alla användares C-drive syntes på nätverket på grund av att arbetsplatsleverantören av misstag hade skjutit ut en testversion av operativsystemet. I praktiken innebar det att en angripare med ganska enkla medel hade kunnat ta sig in på alla medarbetares datorer, inklusive VD:ns.


Ärvda sårbarheter från tillverkarna

Hotaktörerna utnyttjar även sårbarheter från tillverkare av IT-produkter, hårdvara och mjukvara. Det kan vara brister i komponenter, kod, design eller mänskliga misstag. Som tillverkare är det i princip en omöjlig uppgift att ta fram produkter som för alltid kommer vara säkra. Av denna anledning har det under en längre tid varit mycket viktigt att följa tillverkarnas rekommendationer kring att säkerhetspatcha sina tillgångar inom hårdvara och mjukvara.

Som penetrationstestare försöker jag, precis som de kriminella, utnyttja dessa sårbarheter i den simulerade attacken. I vissa fall kan ett penetrationstest med fördel föregås av en sårbarhetsskanning som identifierar svagheterna och då snabbar upp processen med penetrationstestet.

För oss alla som konsumerar IT-produkter är det därför relevant att utföra sårbarhetsanalyser både externt och internt på regelbunden basis och aktivt arbeta med att åtgärda upptäckta brister. Som ett resultat av sårbarhetsanalyser prioriteras även vad som är viktigast att agera på först.

Efter slutfört uppdrag och avrapportering

När jag som pentestare eller då teamet som genomför sårbarhetsanalyser är klara, det är då arbetet påbörjas som kommer göra skillnad för framtiden, avslutar Christian.

Med stöd av det kvalitetssäkrade underlaget med identifierade svagheter och handlingsplaner med prioriteringar – kan kunderna agera direkt. Styrkan i samverkan med oss på Telia Cygate ligger i att vi täcker in alla områden från säkerhet, nätverk till hybrida moln och därför kan stötta kundens fortsatta arbete med rapporten och handlingsplanen som karta och kompass.

När jag som pentestare eller då teamet som genomför sårbarhetsanalyser är klara, det är då arbetet påbörjas som kommer göra skillnad för framtiden.

Christian Holmstedt

Cyber Security/IT-Security Specialist

Grafik i lila

Få svar från en säkerhetsexpert

Ställ en säkerhetsfråga till oss så utlovar vi ett snabbt svar från någon som kan svara.

Få svar från en säkerhetsexpert